Vereinbarkeit der Initiativen der EU-Kommission und des Europarates zur Herausgabe von im Internet gespeicherten persönlichen Daten
der Abgeordneten Andrej Hunko, Heike Hänsel, Niema Movassat, Dr. Alexander S. Neu, Thomas Nord, Martina Renner, Dr. Petra Sitte, Friedrich Straetmanns und der Fraktion DIE LINKE.
Vorbemerkung
Am 17. April 2018 hat die Europäische Kommission einen Vorschlag für eine Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen vorgelegt (COM (2018) 225 final – 2018/0108 (COD)). Die Justizbehörde eines Mitgliedstaats könnte demnach mit Frist von zehn Tagen Inhaltsdaten und Metadaten anfordern. Im „Notfall“ verkürzt sich die Frist auf sechs Stunden. Ähnlich dem deutschen „Quick Freeze“ erhalten Internetdienstleister eine „Sicherungsanordnung“, damit herausverlangte Daten nicht gelöscht werden. Die Vorschrift beträfe alle Firmen, die in EU-Mitgliedstaaten „interpersonelle Kommunikationsdienste“ anbieten, darunter auch „Kleinstprovider“. Die Mitgliedsstaaten haben den Vorschlag der Kommission in einigen Punkten sogar verschärft (Ratsdokument 14351/18). Bei Nichterfüllung der Anordnungen können die Firmen etwa mit bis zu zwei Prozent ihres globalen Jahresumsatzes bestraft werden.
Viele der in der Verordnung angesprochenen Firmen haben ihren Sitz in den USA. Die dortige Regierung würde einem direkt an diese gerichteten Herausgabeverlangen auf ihrem Hoheitsgebiet vermutlich nur zustimmen, wenn auch US-Behörden in der Europäischen Union eine solche Maßnahme zugestanden würde. Im vergangenen Jahr hat die US-Regierung einen „CLOUD Act“ („Clarifying Lawful Overseas Use of Data – CLOUD – Act“) erlassen, der dort niedergelassene Firmen zur Offenlegung von Bestands-, Verkehrs- und Inhaltsdaten zwingt (http://gleft.de/2hK). Er enthält eine Klausel, wonach einzelne EU-Mitgliedstaaten mit der US-Regierung als „Partnerstaaten“ ein Durchführungsabkommen schließen können. Die EU-Kommission soll nun ein Rahmenabkommen für die gesamte Europäische Union aushandeln („USA wollen nicht mit EU über Datenzugriff verhandeln“, www.golem.de vom 17. Mai 2018).
Zusätzlich zur geplanten Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen verhandelt der Europarat über ein Zweites Zusatzprotokoll zum Budapester Übereinkommen über Computerkriminalität zur Verbesserung der Sicherung elektronischer Beweismittel. Bis Dezember 2019 soll eine Arbeitsgruppe einen Entwurf mit Bestimmungen für vereinfachte Rechtshilfeverfahren sowie zur garantierten Kooperation der Internetfirmen ausarbeiten (Bundestagsdrucksache 18/11578, Antwort zu Frage 1). Die USA ist Unterzeichnerin des Abkommens, das Protokoll würde also auch für US-Firmen gelten. Ein EU-Durchführungsabkommen für den „CLOUD Act“, so es denn zustande kommt, könnte sich wie die neue EU-Gesetzgebung auf das Zusatzprotokoll berufen. Aus Sicht der Fragestellerinnen und Fragesteller ist aber unklar, ob und wie sich die Initiativen der EU-Kommission und des Europarates voneinander unterscheiden oder doppeln.
Wir fragen die Bundesregierung:
Fragen18
Wie definiert die Bundesregierung die Begriffe „Bestandsdaten“, „Zugangsdaten“ und „Verkehrsdaten“, und wie hat sie sich im Rat hierzu positioniert (Bundestagsdrucksache 19/3392, Antwort zu Frage 7)?
Inwiefern hält es die Bundesregierung für sachgerecht, dass die Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen auch für Kleinstprovider gelten soll, und welche Ausnahmen befürwortet sie hierzu (Bundestagsdrucksache 19/3392, Antwort zu Frage 5)?
Wie soll aus Sicht der Bundesregierung der Schutz von Berufsgeheimnisträgern in der Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen umgesetzt werden, und wie soll festgestellt werden, in welchen Fällen Herausgabeanordnungen den Kernbereich der privaten Lebensführung oder Berufsgeheimnisse betreffen (Bundestagsdrucksache 19/5207, Antwort zu Frage 2)?
Wie hat sich die Bundesregierung im Rat zur Frage positioniert, ob die Herausgabe der Telekommunikationsdaten einem abgestuften Verfahren folgen soll und etwa Anordnungen zur Herausgabe von Teilnehmer- und Zugangsdaten für alle Straftaten erlassen werden dürfen, Anordnungen zur Herausgabe von Transaktions- und Inhaltsdaten jedoch nur für Straftaten mit einer zu erwartenden bestimmten Höchststrafe?
Inwiefern sollte aus Sicht der Bundesregierung bei bestimmten Straftaten (etwa mit einer Mindestfreiheitsstrafe von drei Jahren) auch möglich sein, eine mehrmonatige Vorratsdatenspeicherung der begehrten Daten zu erwirken, die womöglich sogar verlängert werden könnte?
Wie sollen deutsche Firmen aus Sicht der Bundesregierung prüfen, ob Tatbestände, nach denen „Bestandsdaten“, „Zugangsdaten“ und „Verkehrsdaten“ ohne eine Notifizierung deutscher Behörden und damit ohne juristische Prüfung herausgegeben werden sollen, hierzulande überhaupt strafbar sind, wie beispielsweise der Straftatbestand „Rebellion“, der in Spanien existiert, aber nicht in Deutschland?
Wie hat sich die Bundesregierung mit dem Vorschlag zur Aufnahme weiterer Eingriffsvoraussetzungen („safeguards“) sowie eines Tandem-Verfahrens in den Verordnungsentwurf durchsetzen können (Bundestagsdrucksache 19/5207, Antwort zu Frage 3), und wie soll sich dies auf herausverlangte „Bestandsdaten“, „Zugangsdaten“ und „Verkehrsdaten“ sowie auf „Inhaltsdaten“ unterschiedlich auswirken?
Sollen aus Sicht der Bundesregierung im Rahmen der Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (etwa im „Tandem-Verfahren“ oder einer „Notifikationslösung“; vgl. Ratsdokument 15020/18 sowie Bundestagsdrucksache 19/3392, Antwort zu Frage 21) nur die Regierung bzw. dort zuständigen Behörden informiert werden, auf deren Hoheitsgebiet sich ein betreffender Server befindet, für den eine Firma eine Herausgabeanordnung erhält (in vielen Fällen vermutlich Irland), oder auch die Regierung bzw. dort zuständigen Behörden des Landes, deren Staatsangehörigkeit die von der Maßnahme betroffene Person besitzt (vgl. http://gleft.de/2D8)?
Nach welchem Verfahren und in welchen Fällen sollen die staatlichen Behörden des von einem Herausgabeverlangen im Rahmen der Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen mitbetroffenen Mitgliedstaats aus Sicht der Bundesregierung „frühzeitig eingebunden werden und so ein arbeitsteiliges Zusammenwirken der zuständigen Behörden erreicht wird“ (Bundestagsdrucksache 19/3392, Antwort zu Frage 1)?
a) Nach welcher Maßgabe soll aus Sicht der Bundesregierung ein betroffener Staat über ein an eine Firma gerichtetes Herausgabeverlangen informiert werden, und welche Kanäle (etwa Brief, Fax oder E-Mail) könnten hierfür genutzt werden („Elektronische Beweismittel: Zugriff auf Nutzerdaten ohne Kontrolle“, https://futurezone.at vom 16. Januar 2019)?
b) Wie soll aus Sicht der Bundesregierung in Bezug auf ein Herausgabeverlangen mit Daten umgegangen werden, deren Speicherort oder Hoster unbekannt ist, bzw. auf welche Weise ließe sich diese Fallgestaltung lösen (Bundestagsdrucksache 19/3392, Antwort zu Frage 11)?
Welche Haltung vertritt die Bundesregierung zur Frage, ob Behörden der Mitgliedstaaten direkt auf Daten bei Internetdienstleistern zugreifen können sollen, und wie hat sie sich in der Diskussion um diese Frage im Rat positioniert (Ratsdokument 9418/18)?
a) Was ist der Bundesregierung über Bemühungen der Europäischen Kommission bekannt, über „Maßnahmen zum direkten Zugang“ weiter zu reflektieren (COM (2018) 225 final – 2018/0108 (COD))?
b) Welche „Möglichkeiten des Zugangs“ setzen Bundesbehörden im Rahmen ihrer Befugnisnormen und anwendbaren völkerrechtlichen Verträge ein (Bundestagsdrucksache 19/3392, Antwort zu Frage 11; bitte für einige denkbare Einzelfälle darstellen)?
Welche Haltung vertrat die Bundesregierung in den Diskussionen zum Verordnungsentwurf zur Frage, ob der von der Europäischen Kommission vorgeschlagene Rechtsakt auch für in Echtzeit abgehörte Telefonate („real-time interception of data“) gelten soll (Ratsdokument 9418/18, Bundestagsdrucksache 19/3392, Antwort zu Frage 2)?
a) Mit welchen Argumenten hatten sich nach Kenntnis der Bundesregierung „Minister aus Belgien, Portugal, Zypern, Frankreich, Griechenland, Italien und Estland“ für das Abhören von Kommunikationsdaten in Echtzeit ausgesprochen („Zugriff auf Daten: EU-Justizminister uneins über Polizei-Befugnisse“, www.euractiv.de vom 5. Juni 2018)?
b) Inwiefern sind aus Sicht der Bundesregierung gemäß dem Verordnungsentwurf bzw. der vom Rat verabschiedeten Position auch online gesicherte Geräte-Backups von einem Herausgabeverlangen umfasst?
Wann will die EU-Kommission nach Kenntnis der Bundesregierung mit den Verhandlungen mit der US-Regierung hinsichtlich eines für alle Mitgliedstaaten geltenden Durchführungsabkommen für den „Clarifying Lawful Overseas Use of Data (CLOUD) Act“ zur verpflichtenden Offenlegung von Bestands-, Verkehrs- und Inhaltsdaten beginnen, und welche Haltung der US-Regierung ist der Bundesregierung hierzu bekannt?
a) Was ist der Bundesregierung darüber bekannt, inwiefern die US-Regierung mit einzelnen EU-Mitgliedstaaten (etwa mit Großbritannien) selbst entsprechende Gespräche oder Verhandlungen führt?
b) Mit welcher Fragestellung stand das Thema der Herausgabe elektronischer Beweismittel in Strafsachen nach Kenntnis der Bundesregierung auf der Agenda der jüngsten EU-US-Ministertreffen?
Was ist der Bundesregierung über den Stand der Arbeiten an einem Zweiten Zusatzprotokoll des Budapester Übereinkommens über Computerkriminalität („Cybercrime-Konvention“) bekannt?
Welche Mitgliedstaaten des Europarates oder sonstigen Teilnehmer beteiligen sich nach Kenntnis der Bundesregierung aktiv an den Verhandlungen für das geplante Zweite Zusatzprotokoll des Budapester Übereinkommens über Computerkriminalität bzw. der damit beauftragten Arbeitsgruppe zu Cloud-Beweismitteln des Europarates („Cloud Evidence Group“)?
In welchen Abschnitten enthält das geplante Zweite Zusatzprotokoll des Budapester Übereinkommens über Computerkriminalität nach Kenntnis der Bundesregierung ähnliche Inhalte wie die geplante Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen?
In welchen wesentlichen Punkten unterscheidet sich das geplante Zweite Zusatzprotokoll des Budapester Übereinkommens über Computerkriminalität aus Sicht der Bundesregierung von der geplanten Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen?
Wie soll aus Sicht der Bundesregierung mit Herausgabeverlangen im Rahmen des geplanten Zweiten Zusatzprotokolls des Budapester Übereinkommens über Computerkriminalität umgegangen werden, wenn sich die betroffenen Firmen außerhalb des Hoheitsgebiets einer Vertragspartei des Europarates befinden?
Wie sollte die EU-Kommission aus Sicht der Bundesregierung ihr Verhandlungsmandat hinsichtlich des CLOUD Act inhaltlich gestalten, damit sich die Arbeiten an der Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen und dem geplanten Zweiten Zusatzprotokoll des Budapester Übereinkommens über Computerkriminalität nicht doppeln bzw. keine Friktionen zwischen beiden Rechtsakten geschaffen werden?